Dvoufaktorové ověřování (2FA) již není spolehlivým zabezpečením. Ilustrační fotografie
Nová forma útoku
Dvoufaktorové ověřování (2FA) se stalo standardním bezpečnostním prvkem v kybernetické bezpečnosti. Vyžaduje, aby uživatelé ověřili svou identitu druhým krokem ověřování, obvykle jednorázovým heslem (OTP) zaslaným prostřednictvím textové zprávy, e-mailu nebo ověřovací aplikace. Tato dodatečná vrstva zabezpečení má chránit uživatelský účet i v případě, že je jeho heslo odcizeno.
Přestože je 2FA široce používána mnoha webovými stránkami a vyžadována organizacemi, experti na kybernetickou bezpečnost společnosti Kaspersky nedávno objevili phishingové útoky, které kyberzločinci používají k obcházení 2FA.
Kybernetičtí útočníci proto přešli na sofistikovanější formu kybernetického útoku, kdy kombinují phishing s automatizovanými boty pro OTP, aby oklamali uživatele a získali neoprávněný přístup k jejich účtům. Konkrétně podvodníci lstí přimějí uživatele k odhalení těchto OTP hesel, aby jim umožnili obejít ochranná opatření 2FA.
Kyberzločinci kombinují phishing s automatizovanými boty pro OTP, aby oklamali uživatele a získali neoprávněný přístup k jejich účtům. Ilustrační fotografie
Dokonce i OTP boty, sofistikovaný nástroj, podvodníci používají k zachycení OTP kódů pomocí útoků sociálního inženýrství. Útočníci se často snaží ukrást přihlašovací údaje obětí metodami, jako je phishing nebo zneužívání zranitelností dat. Poté se přihlásí k účtu oběti, čímž spustí odeslání OTP kódů na její telefon.
Poté OTP bot automaticky zavolá oběti, vydává se za zaměstnance důvěryhodné organizace a pomocí předem naprogramovaného konverzačního scénáře ji přesvědčí k odhalení OTP kódu. Útočník nakonec OTP kód prostřednictvím bota obdrží a použije ho k nelegálnímu přístupu k účtu oběti.
Podvodníci často dávají přednost hlasovým hovorům před textovými zprávami, protože oběti na tuto metodu obvykle reagují rychleji. Jednorázové hesla (OTP) proto simulují tón a naléhavost lidského hovoru, aby vytvořili pocit důvěry a přesvědčení.
Podvodníci ovládají boty s jednorázovými hesly (OTP) prostřednictvím specializovaných online panelů nebo platforem pro zasílání zpráv, jako je Telegram. Tito boti také nabízejí různé funkce a předplatné, což útočníkům usnadňuje jednání. Útočníci si mohou přizpůsobit funkce bota tak, aby se vydával za organizace, používal více jazyků a dokonce si zvolil mužský nebo ženský hlasový tón. Mezi pokročilé možnosti patří falšování telefonního čísla, které způsobí, že se telefonní číslo volajícího jeví jako číslo legitimní organizace, aby oběť sofistikovaným způsobem oklamali.
Čím více se technologie vyvíjí, tím vyšší jsou požadavky na ochranu účtu. Ilustrační fotografie
Aby mohl podvodník použít bota s jednorázovým heslem (OTP), musí nejprve ukrást přihlašovací údaje oběti. Často používají phishingové webové stránky, které jsou navrženy tak, aby vypadaly přesně jako legitimní přihlašovací stránky bank, e-mailových služeb nebo jiných online účtů. Když oběť zadá své uživatelské jméno a heslo, podvodník tyto informace automaticky a okamžitě (v reálném čase) shromažďuje.
Mezi 1. březnem a 31. květnem 2024 zabránila bezpečnostní řešení společnosti Kaspersky 653 088 návštěvám webových stránek vytvořených phishingovými sadami zaměřenými na banky. Data ukradená z těchto webových stránek jsou často používána při útocích botů s jednorázovými hesly (OTP). Během stejného období experti detekovali 4 721 phishingových webových stránek vytvořených těmito sadami za účelem obcházení dvoufaktorového ověřování v reálném čase.
Nevytvářejte běžná hesla.
Olga Svistunovová, bezpečnostní expertka společnosti Kaspersky, k tomu uvedla: „Útoky sociálního inženýrství jsou považovány za extrémně sofistikované metody podvodu, zejména s nástupem botů s jednorázovými hesly (OTP), kteří dokáží legitimně simulovat hovory od zástupců služeb. Abychom zůstali ostražití, je důležité zachovat ostražitost a dodržovat bezpečnostní opatření.“
Hackerům stačí použít chytré predikční algoritmy, aby snadno zjistili hesla. Ilustrační fotografie
Vzhledem k tomu, že analýza 193 milionů hesel, kterou provedli odborníci společnosti Kaspersky začátkem června s využitím chytrých algoritmů pro hádání, ukazuje, že 45 % (což odpovídá 87 milionům hesel) lze úspěšně prolomit během minuty; pouze 23 % (což odpovídá 44 milionům) kombinací hesel je považováno za dostatečně silné, aby odolalo útokům, a prolomení těchto hesel bude trvat déle než rok. Většinu zbývajících hesel však stále lze prolomit za 1 hodinu až 1 měsíc.
Odborníci na kybernetickou bezpečnost dále odhalili nejčastěji používané kombinace znaků při nastavování hesel uživateli, jako například: Jméno: „ahmed“, „nguyen“, „kumar“, „kevin“, „daniel“; oblíbená slova: „forever“, „love“, „google“, „hacker“, „gamer“; standardní hesla: „password“, „qwerty12345“, „admin“, „12345“, „team“.
Analýza zjistila, že pouze 19 % hesel obsahovalo silnou kombinaci hesla, včetně slova, které se neobjevuje ve slovníku, velkých i malých písmen, číslic a symbolů. Zároveň studie zjistila, že 39 % těchto silných hesel bylo stále možné uhodnout chytrými algoritmy za méně než hodinu.
Je zajímavé, že útočníci k prolomení hesel nepotřebují specializované znalosti ani pokročilé vybavení. Například specializovaný procesor notebooku dokáže přesně vynutit heslo složené z kombinace osmi malých písmen nebo číslic za pouhých 7 minut. Integrovaná grafická karta totéž zvládne za 17 sekund. Inteligentní algoritmy pro hádání hesel navíc mají tendenci nahrazovat znaky („e“ za „3“, „1“ za „!“ nebo „a“ za „@“) a běžné řetězce („qwerty“, „12345“, „asdfg“).
Měli byste používat hesla s náhodnými řetězci znaků, aby je hackeri mohli jen ztížit uhodnutí. Ilustrační fotografie
„Lidé si nevědomky vybírají velmi jednoduchá hesla, často s použitím slovníkových slov ve svém rodném jazyce, jako jsou jména a čísla... I silné kombinace hesel se od tohoto trendu jen zřídka odchylují, takže je algoritmy zcela předvídají,“ uvedla Julija Novikovová, vedoucí oddělení digitální stopy ve společnosti Kaspersky.
Nejspolehlivějším řešením je proto vygenerovat zcela náhodné heslo pomocí moderních a spolehlivých správců hesel. Takové aplikace dokáží bezpečně ukládat velké množství dat a poskytovat tak komplexní a silnou ochranu uživatelských informací.
Pro zvýšení síly hesel mohou uživatelé použít následující jednoduché tipy: Používejte software pro síťovou bezpečnost ke správě hesel; používejte různá hesla pro různé služby. Tímto způsobem, i když je jeden z vašich účtů napaden hackery, ostatní jsou stále v bezpečí; hesla pomáhají uživatelům obnovit účty, když zapomenou svá hesla, je bezpečnější používat méně běžná slova. Kromě toho mohou k ověření síly svých hesel použít online službu.
Nepoužívejte jako heslo osobní údaje, jako jsou data narození, jména členů rodiny, jména domácích mazlíčků nebo přezdívky. To jsou často první věci, které útočníci zkusí, když se snaží prolomit heslo.
Zdroj
![[Fotografie] Premiér Pham Minh Chinh se zúčastnil 5. ceremoniálu udílení národních cen pro tisk za prevenci a boj proti korupci, plýtvání a negativitě](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/31/1761881588160_dsc-8359-jpg.webp)
![[Foto] Da Nang: Voda postupně ustupuje, místní úřady využívají úklidu](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/31/1761897188943_ndo_tr_2-jpg.webp)
Komentář (0)